Saltar para o conteúdo principal
Didit angaria 7,5 milhões de dólares para construir a infraestrutura para identidade e fraude
Didit
Voltar ao blog
Blog · 13 de junho de 2026

Conformidade KYC em 2026: Requisitos Essenciais (PT-PT-1)

A conformidade KYC em 2026 foca-se em quatro obrigações essenciais: CIP, CDD, EDD e monitorização contínua. Saiba o que as empresas reguladas devem fazer, o que exigem as estruturas da FATF e da UE AML, e como cumprir os.

Por DiditAtualizado
kyc-compliance-requirements-2026.png

A conformidade KYC em 2026 exige que as empresas reguladas satisfaçam quatro controlos essenciais: Programa de Identificação de Clientes (CIP), Diligência Devida de Clientes (CDD), Diligência Devida Aprofundada (EDD) e monitorização contínua. Juntos, formam o quadro operacional exigido pelos padrões globais de combate ao branqueamento de capitais (AML) e aplicado pelos reguladores nacionais.

Este guia descreve o que cada obrigação realmente exige, como as recomendações da FATF e os quadros AML da UE as enquadram, e como a tecnologia pode preencher a lacuna de conformidade sem transformar o processo de adesão numa fonte de atrito.

Principais conclusões

  • A conformidade KYC centra-se no CIP (identificar o cliente), CDD (avaliar o seu risco), EDD (escrutínio acrescido para contas de alto risco) e monitorização contínua.
  • As Recomendações da FATF e o Livro Único de Regras AML da UE definem a base global; os reguladores locais aplicam-nas nas regras nacionais.
  • Os requisitos de beneficiários efetivos estendem o KYC a clientes empresariais — os UBOs (Beneficiários Efetivos Finais) por trás de um negócio devem ser identificados e verificados.
  • As obrigações de manutenção de registos geralmente duram cinco anos a partir do fim da relação com o cliente.
  • A Didit é o único fornecedor formalmente atestado por um governo de um Estado-Membro da UE (Tesouro / BdE / SEPBLAC / CNMV de Espanha) como mais seguro do que a verificação presencial.
  • Fluxo principal completo: 0,33 € por verificação, 500 gratuitas/mês, sem mínimos.

Programa de Identificação de Clientes (CIP)

O CIP é a primeira obrigação. Antes de estabelecer uma relação financeira, uma empresa regulada deve recolher e verificar informações suficientes para estabelecer quem é o cliente.

O conjunto mínimo de dados na maioria dos regimes inclui: nome legal completo, data de nascimento, morada de residência e um número de identificação emitido pelo governo. A verificação significa confirmar que as informações são exatas — não apenas registar o que o cliente afirma.

Para clientes individuais, os métodos de verificação incluem:

  • Verificação de documentos — examinar um documento de identificação emitido pelo governo (passaporte, cartão de cidadão, carta de condução) para autenticidade e extrair os dados via OCR.
  • Verificação biométrica — verificação passiva de vivacidade mais correspondência facial com a fotografia do documento, confirmando que o apresentador é o verdadeiro titular do documento.
  • Validação de bases de dados — cruzar a identidade declarada com registos de agências de crédito, telecomunicações ou registos governamentais.

Para a maioria dos produtos financeiros em mercados regulados — banca, pagamentos, cripto — a verificação de documentos e biométrica é o padrão esperado. A Verificação de ID da Didit (0,15 €) + Vivacidade Passiva (0,10 €) + Correspondência Facial (0,05 €) + Análise de IP (0,03 €) oferece uma camada CIP completa a 0,33 € por verificação, em menos de 2 segundos, em mais de 220 países e mais de 14.000 tipos de documentos.

Diligência Devida de Clientes (CDD)

A CDD baseia-se na identidade verificada. Depois de saber quem é o cliente, a CDD estabelece que risco ele representa.

Uma avaliação CDD padrão inclui:

  • Rastreio de listas de vigilância — verificar a identidade em listas de sanções (OFAC, ONU, UE), registos de pessoas politicamente expostas (PEP), bases de dados de meios de comunicação adversos e listas de aplicação da lei.
  • Origem dos fundos — compreender de onde vem o dinheiro do cliente, pelo menos para relações de maior valor.
  • Objetivo do negócio — registar por que o cliente está a usar o seu produto e que transações espera.
  • Classificação de risco — atribuir uma classificação de risco (baixa, média, alta) que determina o nível de escrutínio contínuo aplicado.

A Diligência Devida Simplificada (SDD) é permitida para clientes de baixo risco em algumas circunstâncias — procedimentos de identificação reduzidos e monitorização menos frequente. Clientes de maior risco exigem Diligência Devida Aprofundada.

O Rastreio AML da Didit (0,20 €) executa uma identidade verificada contra mais de 1.300 listas de vigilância e retorna uma classificação de risco. Compor com a Verificação de ID numa única sessão significa que o CIP e a CDD são executados em conjunto sem integração adicional.

Diligência Devida Aprofundada (EDD)

A EDD aplica-se quando o perfil de risco de um cliente é elevado acima do limite padrão. Os cenários que geralmente desencadeiam a EDD incluem:

  • Pessoas Politicamente Expostas (PEPs) — atuais ou antigos funcionários públicos e os seus associados próximos.
  • Jurisdições de alto risco — clientes de ou que transacionam com jurisdições na lista de alto risco ou monitorizada da FATF.
  • Estruturas de propriedade complexas — clientes empresariais com cadeias de UBO incomuns, camadas de empresas de fachada ou propriedade beneficiária opaca.
  • Transações de alto valor ou incomuns — atividade de conta inconsistente com o propósito declarado.

A EDD exige a recolha de informações adicionais além do conjunto de dados CDD padrão — prova da origem dos fundos, aprovação da administração sénior, ciclos de revisão mais frequentes e monitorização de transações mais rigorosa.

Requisitos de beneficiários efetivos

Para clientes empresariais, o KYC estende-se para além da entidade legal. As empresas reguladas devem identificar e verificar os UBOs (Beneficiários Efetivos Finais) — geralmente definidos como pessoas singulares que possuem ou controlam mais de 25% da entidade, ou que exercem controlo efetivo por outros meios.

Isso significa executar KYC individual em cada UBO e documentar a estrutura de propriedade. O produto KYB da Didit trata da verificação da entidade (consulta de registo, dados de oficiais, extração de propriedade) e gera sessões KYC ligadas para cada UBO — para que o mesmo fluxo de trabalho que integra um negócio também verifique as pessoas por trás dele.

Monitorização contínua

A conformidade KYC não termina na adesão. As empresas reguladas devem monitorizar a sua base de clientes continuamente e rever os registos quando as circunstâncias mudam.

A monitorização contínua envolve: revisão periódica dos registos CDD (a frequência varia com a classificação de risco), novo rastreio de listas de vigilância quando as listas são atualizadas, monitorização de transações para padrões suspeitos e atualização das classificações de risco quando surgem novas informações.

A Monitorização AML Contínua da Didit (0,07 € por utilizador por ano) fornece vigilância contínua de listas de vigilância com alertas automáticos quando surge uma correspondência. A Monitorização de Transações da Didit abrange padrões comportamentais pós-adesão em atividades fiat e cripto.

Manutenção de registos

A maioria dos quadros regulamentares exige que as empresas retenham os registos KYC por cinco anos a partir do fim da relação com o cliente — ou a partir da data da transação para verificações únicas. Os registos devem incluir as informações recolhidas, os documentos utilizados e o resultado de qualquer rastreio AML.

A Didit armazena registos de sessão e dados de decisão na sua conta, acessíveis através da Consola de Negócios e da API, com um registo de auditoria completo.

O quadro regulamentar global

As Recomendações da FATF (Força-Tarefa de Ação Financeira) são o padrão internacional. A Recomendação 10 abrange a CDD; a Recomendação 12 abrange as PEPs; a Recomendação 15 abrange as novas tecnologias; a Recomendação 22 estende as obrigações a empresas e profissões não financeiras designadas.

Os reguladores nacionais traduzem as Recomendações da FATF em lei. Na UE, o Livro Único de Regras AML — o pacote regulamentar AML consolidado do bloco — estabelece padrões vinculativos em todos os Estados-Membros. As empresas reguladas que operam na UE devem seguir os padrões técnicos vinculativos emitidos sob este quadro.

A Didit é o único fornecedor formalmente atestado por um governo de um Estado-Membro da UE (Tesouro / BdE / SEPBLAC / CNMV de Espanha) como mais seguro do que a identificação presencial — o mais alto endosso regulamentar independente no mercado.

Casos de uso

Serviços de EMI e pagamento — As Instituições de Moeda Eletrónica na UE devem cumprir os requisitos da diretiva AML. CIP + CDD na adesão e monitorização contínua satisfazem a condição principal da licença.

VASPs de cripto — A regulamentação MiCA (Mercados de Criptoativos) e as orientações da FATF exigem CIP e rastreio AML para todos os titulares de contas, com medidas aprimoradas para transações acima do limite.

Crédito ao consumo — os credores devem verificar a identidade do mutuário e avaliar o risco antes de conceder crédito. CIP + rastreio AML numa única sessão cobre a base regulamentar.

iGaming — os operadores de jogos regulados enfrentam tanto a verificação de idade (uma obrigação CIP) quanto as obrigações AML. Executar KYC + AML no registo abrange ambos.

Como integrar com a Didit

O construtor de fluxo de trabalho da Didit permite-lhe compor um fluxo de conformidade completo na Consola de Negócios: verificação de documentos + biométrica para CIP, rastreio AML para CDD e monitorização contínua para o ciclo de vida pós-adesão. Inicie uma sessão:

curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "workflow_id": "your_compliance_workflow_id",
    "vendor_data": "user_33001",
    "callback": "https://yourapp.com/webhook/kyc"
  }'

Certificada SOC 2 Tipo 1, ISO/IEC 27001:2022 e iBeta Nível 1 PAD. Mais de 1.500 empresas usam a Didit para conformidade de identidade e fraude.

Perguntas frequentes

Qual é a diferença entre CDD e EDD?

A CDD é a avaliação de risco padrão aplicada a todos os clientes. A EDD é o escrutínio acrescido aplicado a clientes de alto risco — PEPs, ligações a países de alto risco ou estruturas de propriedade complexas — e exige informações adicionais e monitorização mais rigorosa.

Por quanto tempo devem ser mantidos os registos KYC?

A maioria dos quadros exige cinco anos a partir do fim da relação com o cliente. A Didit armazena registos de sessão e decisões na sua conta, acessíveis via API e Consola de Negócios.

A Didit cobre a verificação de beneficiários efetivos?

Sim. O produto KYB da Didit trata da consulta de registo da entidade e gera sessões KYC ligadas para cada UBO, fechando o ciclo dos requisitos de beneficiários efetivos.

Quanto custa um fluxo de integração de conformidade completo?

O CIP via fluxo principal da Didit custa 0,33 € (ID + Vivacidade + Correspondência Facial + IP). Adicione o Rastreio AML a 0,20 € e Monitorização Contínua a 0,07 €/utilizador/ano. 500 verificações gratuitas por mês, sem mínimos.

A Didit está em conformidade com os regulamentos AML da UE?

A Didit opera sob os padrões regulamentares da UE e é o único fornecedor formalmente atestado pelo Tesouro / BdE / SEPBLAC / CNMV de Espanha como mais seguro do que a identificação presencial. Consulte as certificações na página Segurança e Conformidade.

Pronto para começar?

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitorização de Transações e Rastreio de Carteiras. Integre em 5 minutos.

Começar grátisFale connosco
Peça a uma IA para resumir esta página
Requisitos de Conformidade KYC em 2026 | Didit.